資安產業

Clarke Rodgers (00:07)：
AWS 資訊安全長 Chris Betz。非常感謝您參加我們今天的討論。

Chris Betz (00:11)：
很高興能來這裡。謝謝。感謝您今天的邀請。

Clarke Rodgers (00:13)：
身為 AWS CISO，您為何決定從 Capital One 轉換跑道到 AWS 呢? 您擁有豐富的高階管理經驗，可進入任何想任職的公司。您為什麼選擇加入 AWS 呢？

Chris Betz (00:25)：
在那裡工作的幾年中，我不斷意識到我們的工作非常依賴於 AWS 的安全性。如您所知，Capital One 採用全雲端計算，並關閉了自家的資料中心。因此，我在 Capital One 任職期間，Capital One 與 AWS 所進行的安全性合作讓我意識到，我們所引入的技術對於眾多企業的信任和安全至關重要。

因此，老實說，有機會從依賴和信任 AWS 的一方，轉而加入該系統，且全世界有這麼多公司、這麼多人都相信 AWS 能提供傑出的安全性表現，這是令人難以置信且激勵人心的轉變。我很欣賞您的措辭：「嘿，我可以進入任何想任職的公司。」 我的想法正好相反。能成為 AWS 安全團隊的一員絕對是任何資安領域職業生涯的巔峰。

Clarke Rodgers (01:31)：
這太妙了。那麼，既然您已經在這裡任職了一段時間，您有哪些身為客戶時可能不瞭解的洞察？ 您現在已經進入了防火牆內，並負責安全工作，您的角色經歷了什麼樣的變化？ 身為現職員工，您有什麼收穫？

Chris Betz (01:49)：
聽到這些對話是一回事。我聽過許多故事，內容都是關於 AWS 將安全視為基本功，並將其視為第一要務。我聽過關於每週安全會議的討論。這是前任資訊安全長最常講述的故事之一，講的是 AWS 的 CEO 每週如何與 AWS 的所有領導者坐在一起，討論我們需要注意的主要安全問題，以及我們需要改進的地方。

聽說是一回事。而親身經歷，進行這些對話，則是另一回事。我們必須接受企業合作夥伴和技術合作夥伴的挑戰，並不斷檢討「我們走得夠快嗎？ 我們是否有充分提高標準？ 我們是否走在威脅的前面？ 我們會在哪裡看到攻擊者？」 而在推動安全性的發展時，讓合作夥伴與我們的團隊一樣，成為業界領頭羊。這樣的體驗很有趣，也很獨特。

Clarke Rodgers (02:55)：
這太妙了。當然，您還要學習安全產業的文化。您談到了 CEO/CISO 會議的機制，但其實這樣的文化無處不在。

Chris Betz (03:05)：
沒錯。我是資訊安全產業的一員，所以我的每一次談話在某種程度上都會涉及到這一點，但能參加與安全主題無關的會議也是一件很棒的事情。身為一名資深領導者，我非常欣賞 AWS 讓安全人員參與非安全主題的會議。意思是，我可以參與對話，讓其他人提出安全相關問題，並思考「我們如何做得更好？」 就像您說的，這種無處不在的文化真的非常重要。

Clarke Rodgers (03:36)：
就是這樣。那麼，我們來談談如何執行安全計畫。您會使用哪些關鍵指標或衡量標準來證明您的安全計畫的有效性？ 這包括您在 AWS 或過去職位中的計畫。

Chris Betz (03:56)：
這是一個非常好的問題。通常，當我被問到這個問題時，人們都希望我馬上說出一個指標或衡量標準之類的東西。當然，我們可以使用各式指標和衡量標準把安全情況量化。但我認為，真正的主要指標之一，是企業和技術組織如何將安全性視為其實現目標的盟友，以及安全計畫是否將讓安全的行事方法成為企業與技術合作夥伴最簡便的行事方法作爲目標。

當您把這兩者結合在一起時，企業和技術提供者會將安全視為盟友，以及獲得成功的重要元素之一，而安全團隊則知道他們的角色不是消除或克服風險，而是讓企業能夠以安全的方式實現業務目標，如此便可大幅改變組織型態。因此，在我看來，這樣的化學反應、這樣的態度、這些方法是企業成功將使安全納入營運方式的最重要指標。

► 收聽播客：資安長還是安全長？ 哪個角色最準確地定義了當今的安全領導者？

Clarke Rodgers (05:21)：
您剛才提到，您現在參加的會議可能並不以安全為主題，但您的參加可以讓其他參與者接觸到安全，這樣就可以傳達「安全很重要，我們希望在會議上佔有一席之地」。

Chris Betz (05:32)：
是的。這也是挑戰的一部分，在以往的環境中，安全性是由技術的演進而衍伸而來，而如今，我們要求安全領導者成為企業領導者，與企業並肩作戰，參與這些對話，瞭解風險對企業的影響、企業面臨的風險，以及他們可如何幫助確保人們的安全，同時管理其他風險，並造就企業的成功。因此，我認為這對許多安全領導者來說也越來越重要。

Clarke Rodgers (06:07)：
這是我下一個問題的絕佳切入點。在我與許多客戶的交談中，我想你們也會遇到，對方想知道如何最有效地向董事會報告風險。在向董事會報告資訊風險時，您有什麼技巧或指引嗎？

Chris Betz (06:30)：
這是一個很好的問題，老實說，每家公司的做法都有所不同。部分原因是，在談論風險時，必須以業務為背景進行討論，這非常重要。當您與董事會交談時，重要的是您必須了解董事會成員、他們是什麼類型的領導者、以及他們的專長。

當我在 AWS 與董事會交談時，我周圍的董事會成員在技術和企業的許多方面都有非常深厚的造詣。因此，我在這裡所進行的對話，與我在其他董事會中進行的對話截然不同。對方可能是某一特定業務類型的專家，例如零售業或其他領域。他們擁有各種不同的行事方法和知識。

其中最重要的一點，也是我們剛剛談到的 CISO 身為企業領導者的問題，就是要從企業的角度來理解安全。

Clarke Rodgers (07:32)：
並以這種方式進行報告。

Chris Betz (07:33)：
以這種方式報告它對業務的影響。身為安全領導者，我們的職責非常多樣，但我傾向於將其歸納為四個主要類型。我們的工作，是與企業一同建立我們所謂的「良好」業務標準。我們的風險承受性是什麼？ 我們想要實現什麼目標？ 身為安全領導者，我的工作，我們的工作，就是成為真相和透明度的源頭。「這是我們現在的表現情況。」 這就是您可以針對指標進行對話的方式。

Clarke Rodgers (08:08)：
我們贏得客戶的信任，但您也需要贏得企業合作夥伴的信任。

Chris Betz (08:11)：
我們需要贏得企業的信任。這讓我想到了第三點，也是更重要的一點，那就是我們不能僅僅是透明度的源頭。我們不能只指出問題所在。身為安全領導者，我們需要成為解決方案的提供者，為企業提供有效、高效率的方法，以降低這些安全風險，因此，我們的工作就是提供這些解決方案，並思考如何做到這一點。

「我們不能只指出問題所在。身為安全領導者，我們需要成為解決方案的提供者，為企業提供有效、高效率的方法，以降低這些安全風險。」

最後，也就是第四個點，我們的工作還包括成為責任的源頭，在安全方面對自己負責，對董事會透明，對企業負責，讓他們知道我們如何達到自己所設定的標準。因此，我們身兼多職，但我認為在這一領域最成功的企業，也就是安全領導者，不會僅僅停留在「這是我們要實現的目標，以及我們離目標有多近」，而是專注於以最周到的方式幫助企業實現目標。

Clarke Rodgers (09:13)：
Chris，今天非常感謝您撥冗參與訪談。

Chris Betz (09:15)：
我很開心。感謝您的邀請。